EAP 身份驗證方法
使用可擴展的身份驗證協議(EAP),任意身份驗證機制都可以對遠程訪問連接進行身份驗證。通過遠程 VPN 客戶端和驗證程序(ISA服務器或 RADIUS服務器)協商要使用的確切身份驗證方案。ISA 服務器包括默認情況下支持 Message Digest 5Challenge(MD5-Challenge) 和 EAP-Transport Level Security (EAP-TLS)。
EAP 允許遠程VPN客戶端和驗證程序之間進行開端對話。對話由對身份驗證信息的驗證程序請求和遠程 VPN 客戶端的響應組成。例如,當EAP與安全標記卡一起使用時,驗證程序可以單獨查詢遠程訪問客戶端的名稱、PIN和卡標記值。經過提問和回答一輪查詢之后,遠程訪問客戶端將通過身份驗證的另一個級別。正確回答所有問題之后,將對遠程訪問客戶端進行身份驗證。
特定的 EAP 身份驗證方案稱為EAP類型。遠程訪問客戶端和驗證程序必須支持相同的 EAP 類型才能成功進行身份驗證。
有關配置身份驗證方法的說明,請參閱配置 VPN 身份驗證方法。
EAP 結構
EAP 是一組以插件模塊的形式為任何EAP類型提供結構支持的內部組件。為了成功進行身份驗證,遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA服務器支持兩種EAP 類型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5Challenge(MD5-Challenge) 是一種必需的 EAP 類型,其使用與基于 PPP 的CHAP相同的質詢/握手協議,但是質詢和響應是作為 EAP消息發送的。MD5-Challenge的典型用法是通過使用用戶名和密碼安全系統對遠程 VPN 客戶端的憑據進行身份驗證。您還可以使用MD5-Challenge 來測試EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security(EAP-TLS)是在基于證書的安全環境中使用的 EAP 類型。如果您將智能卡用于遠程訪問身份驗證,則必須使用EAP-TLS身份驗證方法。EAP-TLS 的消息交換可以提供遠程VPN客戶端和驗證程序之間的相互身份驗證、加密方法的協商和加密密鑰的確定。EAP-TLS 提供了*強大的身份驗證和密鑰確定方法。
EAP-RADIUS
EAP-RADIUS 并不是一種 EAP類型,但是可以通過驗證程序將任何EAP 類型的 EAP 消息傳遞到 RADIUS 服務器,以便進行身份驗證。例如,將 ISA服務器配置為用于 RADIUS身份驗證時,將封裝在遠程 VPN 客戶端和 ISA 服務器之間發送的 EAP 消息,并在遠程訪問服務器和RADIUS服務器之間將格式設置為 RADIUS 消息。
EAP-RADIUS 用在將 RADIUS作為身份驗證提供程序的環境中。使用EAP-RADIUS 的優勢在于不需要在每個遠程訪問服務器上安裝 EAP 類型,只需要在RADIUS 服務器上安裝即可。在Internet 驗證服務 (IAS) 中,只需要在 ISA 服務器上安裝 EAP 類型。
